英国新データ保護法案の概要


9月13日、イギリスの新データ保護法案 (Data Protection Bill) が議会貴族院 (House of Lords) に上程され、第一読(1st reading)を終えた。議会での実質的な議論は10月10日に予定されている第二読から始まる。

同法案は、現行データ保護法(Data Protection Act 1998、以下「DPA」)に取って替わる法案で、EU一般データ保護規則(GDPR)の施行を前提に、GDPRが許容する英国法に基づく例外を規定し、研究、金融、報道、司法などに関するDPAに基づく例外規定を引き継ぎ、刑事司法、安全保障などに関連する個人データ保護について規定する。

安全保障に関連する諜報機関による個人データ処理について、広い範囲で例外を認める内容となっており、イギリスがBrexit後にGDPR第45条に基づく十分性決定を受けようとする場合において、諜報機関による個人データ取得に対するデータ主体の権利保護が問題とされたEU-U.S. Privacy Shieldの場合と同様の議論となる可能性がある。

法案の主な内容は次の通り:
 GDPRが許容する加盟国法による特例
 ✓ オンラインでのデータ処理について保護者の承認を必要としない年齢を13歳以上とすること
 ✓ データ主体の権利行使に対して管理者が要求できる手数料の上限を規定
 ✓ 自動化されたデータ処理のみに基づく意思決定であって、GDPR第22条第2項(b)に基づき加盟国法により認められるものの要件とデータ主体の保護手続を規定
 ✓ データ主体の同意なく特別カテゴリーの個人データ又は犯罪関係の個人データを処理できる場合として、雇用関係法に基づく雇用主の義務履行、科学的研究、非合法な行動又は詐欺的行為の防止、保険手続、プロフェッショナルスポーツの清廉性維持のために必要な場合などを規定
 ✓ 表現の自由とプライバシーの適切なバランスをとるため、文学、報道、学問などの目的のための個人データ処理について適用除外を規定
 ✓ データ主体の権利行使について、科学的研究、歴史的研究を実施する機関について例外を規定
捜査機関などによる法執行に関連する個人データ処理する規定
 ✓ 警察、検察等刑事司法機関が法執行のために行う個人データ処理について特例を規定
 ✓ データ主体を保護しつつ、Brexit後も刑事司法関係データの国際的な流通を可能にする規定
 ✓ 犯罪防止、捜査、訴追、刑罰執行に支障がある場合などにおいてデータ主体の権利行使を制限する規定
諜報機関による個人データ処理に関する規定
 ✓ 諜報機関による個人データ処理は適切かつ比例的でなければならないことを規定
 ✓ 現行DPAに基づく例外を踏襲し、安全保障上の必要がある時は諜報機関を規制適用外とし、諜報機関以外の管理者又は処理者についても、安全保障上の必要がある限度においてGDPRの例外を規定
 ✓ 安全保障に関する事項はEU法の適用範囲外であり、(GDPR第2条第2項により)GDPRの適用対象外であることを明確化
 ✓ 閣内大臣、司法長官、スコットランド司法長官に対して、安全保障のための例外措置が適切であり比例的であることを証明する権限を与え、当該証明はいかなる司法手続においても決定的な証拠として認めるというDPAの規定を引き継ぐ規定
監督手続、罰則などに関する規定
 ✓ Information CommissionerをGDPRに基づくデータ保護監督機関(Data Protection Authority)に位置づけ、報告徴収、立入検査、是正命令、制裁などの権限を与えることを規定
 ✓ データ保護違反に対する罰則、訴追手続などを規定

関連記事